歐盟法規(guī)(商用車制動系統(tǒng))附錄三

附錄III復(fù)合車輛電子控制系統(tǒng)安全方面的一些特殊要求1總則本附錄規(guī)定了本法規(guī)中的復(fù)合車輛電子控制系統(tǒng)安全方面的文件、故障策略以及驗證方法的特殊要求。本附錄也適用于電子控制系統(tǒng)與安全相關(guān)的功能模塊。本附錄未規(guī)定復(fù)合車輛電子控制系統(tǒng)的性能細(xì)則，但是規(guī)定了設(shè)計過程中應(yīng)遵循的方法，以及試驗時須向技術(shù)部門公開的信息。須公開的信息應(yīng)可證明復(fù)合車輛電子控制系統(tǒng)在正常和錯誤狀態(tài)下均能滿足法規(guī)中所有適用條款對其的性能要求。2定義本附錄做出如下定義：“安全概念(safetyconcept)”指的是，在系統(tǒng)(如電子單元)設(shè)計時，針對系統(tǒng)完整性所采取的一系列措施；這些措施能夠確保在電路失效時系統(tǒng)仍能安全工作。另外，維持系統(tǒng)的部分工作或為重要的車輛功能模塊提供備用系統(tǒng)都屬于此“安全概念”的范疇?！半娮涌刂葡到y(tǒng)(electroniccontrolsystem)”指的是，通過對電子數(shù)據(jù)的處理，能夠協(xié)作實現(xiàn)規(guī)定的車輛控制功能的單元組合。電子控制系統(tǒng)一般由軟件控制，并由傳感器、ECU和執(zhí)行器等獨立的功能部件組成；這些部件能夠通過傳輸裝置連接，一般可包括機械式、電-氣動式或電-液壓式元件?！皬?fù)合車輛電子控制系統(tǒng)(complexelectronicvehiclecontrolsystem)”指的是，上層電子控制系統(tǒng)/功能模塊可對下層電子控制系統(tǒng)/功能模塊進行超馳控制(overridecontro1)的電子控制系統(tǒng)。(超馳控制：當(dāng)自動控制系統(tǒng)接到事故報警、偏差越限、故障等異常信號時,超馳邏輯將根據(jù)事故發(fā)生的原因立即執(zhí)行自動切手動、優(yōu)先增、優(yōu)先減、禁止增、禁止減等邏輯功能,將系統(tǒng)轉(zhuǎn)換到預(yù)設(shè)定好的安全狀態(tài),并發(fā)出報警信號。注：超馳控制定義引自百度百科)“上層控制系統(tǒng)/功能模塊(Highei-levelcontrolsystems/functions)”指的是,采用附加處理或感應(yīng)裝置，通過命令車輛控制系統(tǒng)正常功能下的變量修正車輛狀態(tài)的系統(tǒng)/功能模塊。一般,允許復(fù)合系統(tǒng)根據(jù)感應(yīng)情況決定優(yōu)先順序,以便自動改變其控制目標(biāo)?！皢卧?Units)”指的是，本附錄中涉及到的系統(tǒng)部件的最小組成部分；這些部件組合在識別、分析或替換時可作為一個獨立的實體。“傳輸鏈路(transmissionlinks)”指的是，一種分散單元間的相互連接方式；這種連接方式能夠在分散單元之間傳輸信號、工作數(shù)據(jù)或能量供應(yīng)。傳輸鏈路裝置一般為電動式，但是某些部分也采用機械式、氣壓式、液壓式或光學(xué)式?！翱刂品秶?rangeofcontrol)”指的是，一個輸出變量，這個輸出變量表征系統(tǒng)能夠?qū)嵤┛刂频姆秶！坝行Чぷ鞣秶?boundaryoffunctionaloperation)”指的是，系統(tǒng)能夠保持控制的外部物理界線范圍。3文件3.1要求制造商應(yīng)提供一系列文件，這些文件能夠說明復(fù)合車輛電子控制系統(tǒng)試驗時的基本設(shè)計，與車輛其它系統(tǒng)的連接方式或直接控制輸出變量的方式。制造商應(yīng)對系統(tǒng)(復(fù)合車輛電子控制系統(tǒng))功能和安全概念做出規(guī)定。文件應(yīng)該簡明扼要，并應(yīng)證明系統(tǒng)在設(shè)計開發(fā)時，采用了所有相關(guān)領(lǐng)域的專業(yè)技術(shù)。為了定期的技術(shù)檢查，文件應(yīng)說明如何檢查系統(tǒng)當(dāng)前的工作狀態(tài)。3.1.1文件應(yīng)分為兩個部分（a）獲批的正式文件，包含文件（3節(jié)）中所有材料（3.4.4中的材料除外）；這些文件在申請試驗時須向技術(shù)部門提供，并將作為（4驗證與試驗）規(guī)定的程序確認(rèn)方法的主要參考依據(jù)。（b）附加材料和344中的分析數(shù)據(jù)應(yīng)由制造商保存，但在試驗時需予以公開，以便檢查。3.2系統(tǒng)功能說明書說明書中應(yīng)簡單地解釋說明系統(tǒng)各功能模塊，和給出完成任務(wù)所用的控制裝置的使用說明。輸入和感應(yīng)變量列表應(yīng)予以提供，并限定其工作范圍。系統(tǒng)控制的所有變量列表應(yīng)予以提供，并說明其在每種情況（工況）下是由系統(tǒng)直接控制，還是由其它車輛系統(tǒng)控制。這些變量實施控制的范圍也應(yīng)予以規(guī)定。3.2.3對于相應(yīng)的系統(tǒng)性能，有效的工作范圍界限應(yīng)予以說明。系統(tǒng)布置和示意圖3.3.1零部件清單零部件清單應(yīng)按序號列出所有的系統(tǒng)單元，以及實現(xiàn)相應(yīng)控制功能的其它車輛系統(tǒng)。簡明的示意圖必須予以提供；示意圖應(yīng)說明組合中的各單元信息，并應(yīng)注明各裝置的分布情況以及其相互連接方式。單元功能系統(tǒng)各單元的功能應(yīng)予以簡要說明；各單元與其它單元或車輛其它系統(tǒng)的連接信號也應(yīng)予以說明。這些內(nèi)容可通過帶標(biāo)注的模塊圖或其它示意圖或其它輔助圖表來予以說明。相互連接方式系統(tǒng)內(nèi)部的相互連接方式應(yīng)采用電路圖、光纖圖、管路圖和布置簡圖予以說明。電路圖主要說明電控傳輸鏈路；光纖圖主要說明光學(xué)傳輸裝置的連接方式；管路圖主要說明氣壓或液壓傳輸裝置的連接方式；布置簡圖主要說明機械傳輸裝置的連接方式。3.3.4信號流及優(yōu)先級順序傳輸鏈路與各單元間輸出信號的對應(yīng)關(guān)系應(yīng)予以說明。無論優(yōu)先級是影響本法規(guī)中所涉及到的性能問題，還是影響安全問題，多元數(shù)據(jù)通道內(nèi)的信號優(yōu)先級順序都應(yīng)予以規(guī)定。3.3.5單元識別通過相應(yīng)的硬件和文件幫助說明，每個單元（如硬件標(biāo)志單元、軟件內(nèi)容標(biāo)志或軟件輸出單元）都應(yīng)清晰明確地予以識別。在一個單元或計算機集成了多種功能時，使用一個單獨的硬件識別標(biāo)志即可，但是為了便于清楚簡單地理解，也可在模塊圖中使用多個模塊表示。制造商應(yīng)使用上述識別標(biāo)志確認(rèn)所提供的裝置是否與相應(yīng)文件一致。上述識別標(biāo)志應(yīng)規(guī)定硬件和軟件的版本。在軟件版本變化引起本法規(guī)中所述單元的功能變化時，相應(yīng)的識別標(biāo)志也應(yīng)做出改變。制造商的安全概念制造商應(yīng)確定在無故障條件時，實現(xiàn)系統(tǒng)目標(biāo)所選的策略不會損害本法規(guī)中所述系統(tǒng)的安全運行。對于系統(tǒng)所使用的軟件，應(yīng)說明解釋其簡要結(jié)構(gòu)，并注明其所使用的設(shè)計方法和設(shè)計工具。制造商應(yīng)準(zhǔn)備，在需要時，說明在設(shè)計開發(fā)過程中，通過何種方法確定系統(tǒng)邏輯的實現(xiàn)方式。制造商應(yīng)向技術(shù)管理部門解釋說明系統(tǒng)在故障狀態(tài)下安全運行時，在設(shè)計中所需的預(yù)防措施。系統(tǒng)失效時在設(shè)計中所采用的預(yù)防措施如下：a）使用部分系統(tǒng)維持工作；b）切換到獨立的備用系統(tǒng)；c）關(guān)閉上層功能。系統(tǒng)在失效時，應(yīng)通過報警信號或信息提示來預(yù)警駕駛員。如果系統(tǒng)不是由駕駛員終止的（通過切斷開關(guān)或通過專用開關(guān)切斷特殊功能），只要系統(tǒng)失效仍然存在，報警也應(yīng)繼續(xù)。如果在系統(tǒng)失效時，選擇“部分系統(tǒng)維持工作”模式，應(yīng)說明其條件及其有效范圍。如果選擇第二種方式（備用系統(tǒng)）來實現(xiàn)車輛控制系統(tǒng)的目標(biāo)時，切換機制的原理、冗余度邏輯、冗余度水平和所有備用系統(tǒng)檢查特征應(yīng)予以說明。備用系統(tǒng)的有效范圍也應(yīng)予以規(guī)定。如果選擇“關(guān)閉上層功能”模式，與該功能相關(guān)的所有輸出控制信號都應(yīng)予以禁止，以便通過這種方式限制過渡干擾。支持上述文件，需要通過分析系統(tǒng)如何從總體的角度應(yīng)對一些特定的失效狀況來實現(xiàn)；這些失效狀態(tài)一般會影響車輛控制性能或車輛控制安全。這些應(yīng)對方法可以基于失效模式及后果分析（FMFA）、失效樹分析（FTA）或所有適用于系統(tǒng)安全分析的其它類似方法。這些所采用的分析方法應(yīng)由制造商予以建立和保存，并在試驗時向技術(shù)部門予以公開，以便檢查。3.4.4.1文件應(yīng)詳細(xì)列明監(jiān)測參數(shù)，并規(guī)定3.4.4中所述的每種失效狀態(tài)下，報警駕駛員和（或）服務(wù)人員/技術(shù)檢查人員的信號。4驗證和試驗文件（3節(jié)）中所規(guī)定的系統(tǒng)運行功能應(yīng)由以下試驗予以測試：4.1.1系統(tǒng)功能驗證作為保持系統(tǒng)正常工作水平的方法，除非應(yīng)用本法規(guī)規(guī)定的試驗程序進行專門的性能試驗，否則應(yīng)參照制造商的基本基準(zhǔn)規(guī)范，來驗證車輛系統(tǒng)非